Sites criados por plataformas de AI contêm dados confidenciais expostos — estudo da RedAccess

Plataformas de criação de sites com IA — Lovable, Base44, Replit, Netlify — prometem transformar qualquer pessoa em um desenvolvedor em segundos. Mas a análise da RedAccess, especialista em cibersegurança, revelou um problema em larga escala: milhares de sites implantados têm senhas, chaves de API e outros dados confidenciais abertamente acessíveis.

Escala dos vazamentos: milhares de sites comprometidos

A plataforma Lovable sozinha hospeda mais de 20 mil sites públicos. Quando pesquisadores da RedAccess analisaram uma parcela significativa dos projetos, um problema sistemático e grave emergiu: usuários frequentemente inserem informações confidenciais nos prompts, que acabam aparecendo no código gerado. Muitas vezes, não percebem que dados deixados em exemplos, comentários ou até colados acidentalmente da área de transferência serão visíveis a qualquer pessoa que abra o código-fonte do site. O problema é agravado pelo fato de as plataformas publicarem especificamente os sites através de URLs públicas, e o código-fonte estar frequentemente acessível diretamente através da ferramenta de exibição de código-fonte do navegador.

A RedAccess encontrou abertamente expostos:

• Senhas e tokens de API no código-fonte
• Chaves para serviços em nuvem (AWS, Google Cloud, Azure)
• Endereços de email e números de telefone celular de funcionários
• Links para painéis administrativos internos e serviços
• Dumps de bancos de dados com informações pessoais de clientes
• Logins SSH e senhas para acesso remoto a servidores

Plataformas transferem responsabilidade aos usuários

Os desenvolvedores do Lovable, Base44, Replit e Netlify adotam uma posição unificada: fornecem ferramentas, e os usuários são responsáveis pelo conteúdo que inserem nelas. De um ponto de vista formal, isso é justo — assim como um fabricante de faca não é responsável se alguém se cortar com a faca. Mas especialistas em segurança apontam uma distinção crítica: essas plataformas são explicitamente projetadas e comercializadas para pessoas sem experiência em programação.

Quando um sistema é orientado para iniciantes que, por definição, não sabem o que é uma chave de API e por que ela não deve ficar no código, o desenvolvedor deve adicionar um aviso muito destacado ou incorporar uma varredura automática e bloqueio de dados sensíveis antes da publicação.

"Plataformas são projetadas para pessoas que não conhecem os fundamentos de segurança da informação.

Quando um sistema é criado para elas, o criador tem responsabilidade pela proteção básica", afirma a pesquisa RedAccess.

O que isto significa para a indústria

Geradores de código IA estão literalmente reformulando o cenário de desenvolvimento web: são ordens de magnitude mais baratos e rápidos do que contratar um desenvolvedor experiente. Mas criam uma nova categoria de problemas de segurança que a geração anterior de desenvolvedores simplesmente não previu. Para empresas que usam tais serviços, o conselho é simples: se você usar Lovable, Replit ou plataformas similares, revise o código gerado antes de implantar em produção. Nunca passe senhas reais, chaves de API ou acesso a dados confidenciais para sistemas de IA. Use valores fictícios fixos em vez disso.

Para as próprias plataformas, esta é uma janela de oportunidade. A primeira empresa a adicionar varredura automática integrada de código para vazamentos de dados e bloqueio de implantação quando informações sensíveis forem detectadas obterá uma enorme vantagem competitiva na forma de confiança de clientes corporativos e governamentais. E RedAccess será apenas uma história — sobre quando a indústria ainda era descuidada.